تقرير ثغرات WordPress: أبريل 2021 ، الجزء 4

نشرت: 2021-04-28

المكونات الإضافية والسمات الضعيفة هي السبب الأول وراء اختراق مواقع WordPress. يغطي هذا التقرير مكون WordPress الإضافي والسمات ونقاط الضعف الأساسية وماذا تفعل إذا قمت بتشغيل أحد المكونات الإضافية أو السمات الضعيفة على موقع الويب الخاص بك.

تم تقسيم تقرير الثغرات الأمنية في WordPress إلى ثلاث فئات مختلفة: نواة WordPress ومكونات WordPress الإضافية وموضوعات WordPress. سيكون لكل ثغرة تقييم درجة خطورة منخفضة أو متوسطة أو عالية أو حرجة . تعتمد تصنيفات الخطورة على نظام تسجيل نقاط الضعف المشترك.

في تقرير أبريل ، الجزء 4
    احصل على تقرير ثغرات iThemes Security WordPress الذي تم تسليمه إلى صندوق الوارد الخاص بك
    اشترك في التقرير

    نقاط الضعف الأساسية في ووردبريس

    تم إصدار WordPress 5.7.1 في 15 أبريل 2021. يتضمن إصدار الأمان والصيانة هذا 26 إصلاحًا للأخطاء بالإضافة إلى إصلاحين للأمان. نظرًا لأن هذا إصدار أمني من نواة WordPress ، فمن المستحسن أن تقوم بتحديث مواقعك على الفور!

    نقاط الضعف في البرنامج المساعد WordPress

    1. الأكورديون

    الضعف : البرمجة النصية عبر المواقع المعكوسة المصادق عليها
    مصححة في الإصدار : 2.2.30
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.2.30+.

    2. RSS لـ Yandex Turbo

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : 1.30.1
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.30+.

    3. إضافات Kaswara Modern VC

    الثغرة الأمنية : تحميل ملف تعسفي غير مصدق
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    4. حماية نسخ محتوى WP & لا انقر بزر الماوس الأيمن

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
    مصححة في الإصدار : 3.4.1
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
    مصححة في الإصدار : 3.5.1
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 3.5.1+.

    5. بريد التسويق الشرطي لـ WooCommerce

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
    مصححة في الإصدار : 1.6
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
    مصححة في الإصدار : 1.5.2
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.6+.

    6. Captchinoo ، جوجل recaptcha لصفحة تسجيل دخول المسؤول

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    7. وضع الصيانة WP والموقع قيد الإنشاء

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    8. شجرة خريطة الموقع

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    9. حماية تسجيل الدخول - الحد من محاولات تسجيل الدخول الفاشلة

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    10. إحصائيات حركة الزوار في الوقت الحقيقي

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
    مصححة في الإصدار : 2.13.1
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
    مصححة في الإصدار : 2.12
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.13+.

    11. تسجيل الدخول كمستخدم أو عميل

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر CSRF
    مصححة في الإصدار : 2.1
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: H / I: H / A: H

    الثغرة الأمنية : تثبيت / تنشيط البرنامج المساعد التعسفي عبر مستخدم ذي امتيازات منخفضة
    مصححة في الإصدار : 1.8.1
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: H / I: H / A: H

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.1+.

    12. إعادة توجيه 404 إلى الأصل

    الضعف : انعكاس البرمجة عبر المواقع
    مصححة في الإصدار : 1.3.1
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.3.1+.

    13. حدد كافة الفئات والتصنيفات

    الضعف : انعكاس البرمجة عبر المواقع
    مصححة في الإصدار : 1.3.2
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 1.3.2+.

    14. مدير ترخيص البرنامج

    الضعف : CSRF إلى XSS المخزنة
    مصححة في الإصدار : 4.4.6
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: R / S: C / C: L / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 4.4.6+.

    15. بائع السيارة - سيناريو الإعلانات المبوبة

    الثغرة الأمنية : حقن SQL غير مصدق
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : حرجة - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: L / A: L

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    16. Store Locator Plus

    الضعف : برمجة نصية عبر المواقع مخزنة غير مصادق عليها
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: L / I: L / A: N

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    17. إضافات سعيدة لـ Elementor Free & Pro

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة
    مصححة مجانية في الإصدار : 2.24.0
    Pro Patched في الإصدار : 1.17.0
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: L / PR: L / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 2.24.0+ (مجاني) / 1.17.0+ (Pro).

    18. WP Fastest Cache

    WP Fastest Cache Logo

    الثغرة الأمنية : حذف ملف تعسفي مصدق عليه عبر مسار اجتياز
    مصححة في الإصدار : 0.9.1.7
    درجة الخطورة : منخفضة - CVSS: 3.1 / AV: N / AC: L / PR: H / UI: N / S: U / C: N / I: L / A: L

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 0.9.1.7+.

    19. WPGraphQL

    الضعف : رفض الخدمة
    مصححة في الإصدار : لا يوجد إصلاح معروف
    درجة الخطورة : عالية - CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: H

    لم يتم تصحيح هذه الثغرة الأمنية. قم بإلغاء تثبيت البرنامج المساعد وحذفه حتى يتم تحرير التصحيح.

    20. WooCommerce

    الثغرة الأمنية : البرمجة النصية عبر المواقع المخزنة المصادق عليها
    مصححة في الإصدار : 5.2.0
    درجة الخطورة : متوسطة - CVSS: 3.1 / AV: N / AC: H / PR: H / UI: N / S: C / C: L / I: L / A: N

    تم تصحيح الثغرة الأمنية ، لذا يجب عليك التحديث إلى الإصدار 5.2.0+.

    ثغرات ثغرات سمة WordPress

    لم يتم الكشف عن أي ثغرات أمنية جديدة هذا الأسبوع.

    يمكن أن يساعد المكون الإضافي لأمان WordPress في تأمين موقع الويب الخاص بك

    يوفر iThemes Security Pro ، المكون الإضافي لأمان WordPress ، أكثر من 50 طريقة لتأمين وحماية موقع الويب الخاص بك من الثغرات الأمنية الشائعة في WordPress. باستخدام WordPress والمصادقة الثنائية وحماية القوة الغاشمة وفرض كلمة مرور قوية وغير ذلك ، يمكنك إضافة طبقة إضافية من الأمان إلى موقع الويب الخاص بك.

    احصل على iThemes Security Pro